Il Comitato europeo (EDPB), trascorso il periodo di consultazione pubblica, ha adottato il 20 ottobre 2020 in via definitiva le linee guida n. 04/2019 sull’articolo 25 del GDPR. Questa disposizione disciplina il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e per impostazione predefinita (by default).

By design e by default

ACCOUNTABILITY

Il principio di responsabilizzazione o accountability, come indicato nelle linee guida 04/2019, «è generale: richiede che il titolare del trattamento sia responsabile nella scelta delle misure tecniche e organizzative necessarie»; in verità, esso si declina in più modi, ad esempio: in aggiunta all’adozione di misure tecnico-organizzative adeguate, seguendo l’approccio basato sul rischio con un’accurata analisi dei rischi per qualsiasi trattamento nonchè la dpia per quelli a presumibile rischio elevato, adottando un appropriato sistema documentale, dotandosi di un modello di governo data protection integrato nel proprio assetto organizzativo interno.

Il titolare del trattamento è il soggetto che il legislatore ritiene primariamente destinatario e responsabile delle prescrizioni di legge e l’obbligo di accountability è la più alta manifestazione di tale responsabilità. Spetta al titolare, pertanto, rendere effettivo questo obbligo mediante una serie di interventi e azioni, talune esplicitate nel regolamento, altre desunte dalla lettura “in filigrana” della norma.

ARTICOLI 5.2, 24 E 25

Il principio di accountability nel GDPR viene enunciato al paragrafo 2 dell’articolo 5 e precisato all’articolo 24: esso si sostanzia nella conformità a tutti i principi del GDPR e nella capacità di dimostrarla. L’articolo 25 sulla protezione dei dati fin dalla progettazione e per impostazione predefinita non segue l’articolo 24 per mera coincidenza casuale, in quanto esso sostanzia di fatto come la responsabilizzazione assume effettività: le appropriate misure e salvaguardie volte a proteggere i diritti degli interessati sono adottate sin dalla fase di progettazione del trattamento dei dati personali per garantirne l’effettività. In linea con i principi by design e by default, per dimostrare l’efficacia delle misure e delle garanzie nell’attuazione dei principi e dei diritti, ad esempio, il titolare potrebbe utilizzare indicatori chiave di prestazione (KPI) cioè «un valore misurabile scelto dal titolare del trattamento che dimostra quanto efficacemente il titolare del trattamento raggiunga il proprio obiettivo di protezione dei dati».